ProHoster > Blog > internetne novice > Fedora 40 namerava omogočiti izolacijo sistemskih storitev

Fedora 40 namerava omogočiti izolacijo sistemskih storitev

Izdaja Fedora 40 predlaga omogočanje nastavitev izolacije za sistemske storitve systemd, ki so privzeto omogočene, kot tudi storitve s kritičnimi aplikacijami, kot so PostgreSQL, Apache httpd, Nginx in MariaDB. Pričakuje se, da bo sprememba znatno povečala varnost distribucije v privzeti konfiguraciji in omogočila blokiranje neznanih ranljivosti v sistemskih storitvah. Predloga še ni obravnaval FESCo (Fedora Engineering Steering Committee), ki je odgovoren za tehnični del razvoja distribucije Fedora. Predlog je lahko zavrnjen tudi med postopkom pregleda skupnosti.

Priporočene nastavitve za omogočanje:

  • PrivateTmp=yes - zagotavljanje ločenih imenikov z začasnimi datotekami.
  • ProtectSystem=yes/full/strict — pripni datotečni sistem v načinu samo za branje (v »polnem« načinu - /etc/, v strogem načinu - vsi datotečni sistemi razen /dev/, /proc/ in /sys/).
  • ProtectHome=yes—zavrne dostop do uporabniških domačih imenikov.
  • PrivateDevices=yes - pusti dostop samo do /dev/null, /dev/zero in /dev/random
  • ProtectKernelTunables=yes - dostop samo za branje do /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq itd.
  • ProtectKernelModules=yes - prepoved nalaganja modulov jedra.
  • ProtectKernelLogs=yes - prepoveduje dostop do medpomnilnika z dnevniki jedra.
  • ProtectControlGroups=da - dostop samo za branje do /sys/fs/cgroup/
  • NoNewPrivileges=yes - prepoved povišanja privilegijev prek zastavic setuid, setgid in capabilities.
  • PrivateNetwork=yes - umestitev v ločen imenski prostor omrežnega sklada.
  • ProtectClock=yes—prepoved spreminjanja ure.
  • ProtectHostname=yes - prepoveduje spreminjanje imena gostitelja.
  • ProtectProc=invisible - skrivanje procesov drugih ljudi v /proc.
  • Uporabnik= - spremeni uporabnika

Poleg tega lahko razmislite o omogočanju naslednjih nastavitev:

  • CapabilityBoundingSet=
  • DevicePolicy=zaprto
  • KeyringMode=zasebno
  • LockPersonality=da
  • MemoryDenyWriteExecute=da
  • PrivateUsers=da
  • Odstrani IPC=da
  • RestrictAddressFamilies=
  • RestrictNamespaces=da
  • RestrictRealtime=da
  • RestrictSUIDSGID=da
  • SystemCallFilter=
  • SystemCallArchitectures=native

Vir: opennet.ru

Dodaj komentar